weblogic jsessionid cookie-安全
weblogic.xml:
<session-descriptor>
<cookie-http-only>true</cookie-http-only>
<cookie-secure>true</cookie-secure>
</session-descriptor>
HTTPS请求工作正常,但是非SSL协议上的每个请求都会产生一个新的JSessionID。是否有其他设置可以用来有条件地设置cookie-secure?
共有1个答案
没有必要使JSESSIONID cookie安全。如果选中Auth Cookie Enabled标志,这是weblogic控制台中的默认值。
将AuthCookieEnabled设置为true,会导致WebLogic服务器实例在通过HTTPS连接进行身份验证时向浏览器发送一个新的安全cookie_wl_authCookie_jsessionid。一旦设置了安全cookie,只有从浏览器发送cookie,才允许会话访问其他受安全限制的HTTPS资源。
因此,WebLogic Server使用两个cookie:JSESSIONID cookie和_wl_authcookie_jsessionid cookie。默认情况下,JSESSIONID cookie从不安全,但_WL_AUTHCookie_JSessionID cookie始终是安全的。只有在使用加密通信信道时才发送安全cookie。假设一个标准的HTTPS登录(HTTPS是一个加密的HTTP连接),您的浏览器将获得这两个cookie。
-
安全在Web应用开发中是一项至关重要的话题,Django提供了多种保护手段和机制:
-
Elasticsearch-PHP 客户端支持两种安全设置方式:HTTP 认证和 SSL 加密。 HTTP 认证 如果你的 Elasticsearch 是通过 HTTP 认证来维持安全,你就要为 Elasticsearch-PHP 客户端提供身份凭证(credentials),这样服务端才能认证客户端请求。在实例化客户端时,身份凭证(credentials)需要配置在 host 数组中: $hos
-
安全 no_file_caps 要求内核无视文件的权限。这样,执行文件的唯一途径就只有:由root去执行或者setuid root noexec={on|off} noexec32={on|off} 是否允许将某部分内存映射为"禁止执行",这是一种防止数据缓冲区溢出攻击的保护措施(也就是WinXP SP2曾经大力宣传的数据执行保护功能),建议保持默认值"on"。 [说明]noexec对32bit代
-
请参考:http://www.kancloud.cn/manual/thinkphp/1840
-
评估 Docker 的安全性时,主要考虑三个方面: 由内核的命名空间和控制组机制提供的容器内在安全 Docker 程序(特别是服务端)本身的抗攻击性 内核安全性的加强机制对容器安全性的影响
-
本节详细介绍了Web容器包含在一个产品中时额外的安全性要求,还包含EJB、JACC和(或)JASPIC。以下各节将介绍这些要求。 EJB™调用传播的安全标识 必须始终提供一个安全标识或主体(principal),用于调用一个企业 bean。从 Web 应用程序中调用企业 Bean 的默认模式是为把 Web 用户的安全标识传播到 EJB 容器。 在其他情况下,Web 容器必须允许不了解 Web 容器
-
应用开发人员创建Web应用,他给、销售或其他方式转入应用给部署人员,部署人员覆盖安装到运行时环境。应用开发人员与部署人员沟通部署系统的安全需求。该信息可以通过应用部署描述符声明传达,通过在应用代码中使用注解,或通过 ServletRegistration 接口的setServletSecurity 方法编程。 本节描述了 Servlet 容器安全机制、接口、部署描述符和基于注解机制和编程机制用于传
-
安全工具 Coding tool: DOMPurity XSS References: HTML5 Security Cheatsheet